Sairausvakuutuksen siirrettävyys- ja vastuuvelvollisuuslaki, jota kutsutaan yleisesti HIPAA: ksi, on lainsäädäntö, joka säätelee terveydenhuollon monia näkökohtia, lähinnä tietosuojaan ja tietoturvaan, sekä ehkäisyyn terveydenhuollon petokset, mutta miten HIPAA-rikkomuksista on ilmoitettava ja kenelle niistä on ilmoitettava?
Miksi HIPAA-rikkomuksista tulisi ilmoittaa?
Jos HIPAA: n piiriin kuuluvat yhteisöt tai heidän liikekumppaninsa rikkovat HIPAA: n sääntöjä tai epäillään rikkoneen HIPAA-sääntöjä, tästä tulisi ilmoittaa. HIPAA-rikkomukset johtuvat usein inhimillisistä virheistä tai väärinkäsityksistä siitä, miten HIPAA: ta tulisi soveltaa suojattuun terveystietoon (PHI) tai muihin elementteihin. Harvemmin rikkomukset voivat johtua tahallisesta laiminlyönnistä tai pahasta toiminnasta. Rikkomuksista vastuussa olevat henkilöt eivät ehkä edes tiedä, että ne toimivat HIPAA-säännösten ulkopuolella tai että jotkut toimet ovat johtaneet tietorikkomuksiin.
Tunnetuista tai havaituista rikkomuksista on ilmoitettava. Rikkomuksista ilmoittaminen tarkoittaa, että niitä voidaan tarvittaessa tutkia, mikä voi auttaa ratkaisemaan ongelman ja mahdollisesti estämään sen toistumisen. HIPAA-rikkomuksista ilmoittaminen antaa potilaille myös mahdollisuuden tunnistaa, jotta heille voidaan ilmoittaa ja ryhtyä toimiin tietojen minimoimisesta mahdollisesti aiheutuvien haittojen minimoimiseksi.
Kenelle HIPAA-rikkomuksista on ilmoitettava?
Kenelle HIPAA-rikkomuksista on ilmoitettava, riippuu jonkin verran roolistasi terveydenhuoltoalalla. Optimaalisesti työntekijöiden osalta kaikista rikkomuksista tai epäillyistä rikkomuksista on ensin ilmoitettava organisaatiosi Compliance Officerille. Jos tämä ei ole mahdollista tai jos organisaatiollasi ei ole Compliance Officeria, raportit voidaan tehdä esimiehille tai esimiehille. Tämä toimintatapa antaa piiriin kuuluvalle taholle mahdollisuuden ryhtyä välittömästi toimenpiteisiin rikkomuksen tai rikkomuksen korjaamiseksi ja korjaamiseksi.
Jos katettu yhteisö ei ryhdy asianmukaisiin toimiin tai jos työntekijä haluaa, he voivat ilmoittaa rikkomuksesta tai epäillystä rikkomuksesta suoraan terveys- ja henkilöstöministeriön kansalaisoikeuksien toimistolle (OCR). OCR on HIPAA-sääntöjen ensisijainen toimeenpanija yhdessä valtion oikeusasianajajien kanssa. Jotta OCR voi ryhtyä toimiin, valituksen tulisi sisältää yksityiskohtaiset tiedot epäillystä rikkomuksesta. Tiedot on pidettävä mahdollisimman asiaankuuluvina ja niihin on sisällyttävä rikkomisten päivämäärä tai päivämäärät, jos rikkomusta esiintyy edelleen ja milloin ongelma havaittiin ensimmäisen kerran. Ilmoitukset on tehtävä 180 päivän kuluessa rikkomuksen havaitsemisesta, koska OCR ei ryhdy toimiin tämän viiveen jälkeen, paitsi tietyissä poikkeuksellisissa olosuhteissa, joissa viivästykselle voidaan osoittaa ”hyvä syy”.
Pitäisikö potilaiden olla Jos haluat ilmoittaa HIPAA-rikkomuksista tai epäillyistä rikkomuksista, heidän on ensin tehtävä muodollinen valitus asianomaiselle katetulle yksikölle. Tämä antaa organisaatiolle mahdollisuuden suorittaa asiasta sisäinen tutkimus ja mahdollisesti ryhtyä korjaaviin toimiin. Valitus tulee osoittaa organisaation Compliance Officer aina kun mahdollista. Koska Compliance Officerien tehtävänä on suunnitella, toteuttaa ja seurata katetun yksikön HIPAA-vaatimustenmukaisuutta, he todennäköisimmin tutkivat tapahtumaa ja yrittävät korjata ongelman. Potilaiden tulisi olla tietoisia siitä, ettei Kaikilla katetuilla yhteisöillä on omat Compliance Officerit. Pienemmät yritykset voivat antaa Compliance Officer -roolin toiselle työntekijälle, joka suorittaa tämän tehtävän muille vastuille. Kaikenkokoiset organisaatiot ovat saattaneet ulkoistaa Compliance Officerin toiminnot ulkopuoliselle kolmannelle osapuolelle.
Potilaat voivat myös ilmoittaa valituksistaan suoraan OCR: lle, koska heillä ei ole velvollisuutta ottaa ensin yhteyttä katettuun yksikköön. Jos potilaat päättävät käyttää tätä suoraa reittiä, raportti voidaan tehdä OCR: n tarkoituksenmukaisen online-valitusportaalin kautta tai lähettämällä valituslomake, joka voidaan lähettää sähköpostitse, postitse tai faksilla. Jälleen kerran valitukset tai ilmoitukset epäiltyistä HIPAA-rikkomuksista on tehtävä 180 päivän kuluessa ongelman havaitsemisesta. Tarkat tiedot, kuten päivämäärät, olisi sisällytettävä, jos ne ovat tiedossa, ja kokonaisraportti on laadittava mahdollisimman suppeasti ja asiaankuuluvalla tavalla. OCR tutkii sitten valituksen ja päättää, osoittavatko toimitetut tiedot mahdolliseen HIPAA-rikkomukseen, joka edellyttää lisätutkimuksia.
Kuka tahansa voi tehdä valituksen tai ilmoittaa HIPAA-rikkomuksesta nimettömästi. On kuitenkin huomattava, että OCR on ilmoittanut, että he eivät aloita tutkintaa kattamaan yhteisöön, ellei kantelija ole mainittu ja toimittanut yhteystiedot.
On olemassa säännöksiä, jotka suojaavat niitä, jotka tekevät valituksia tai ilmoita HIPAA-rikkomuksista. OCR: lle on ilmoitettava, jos katetut yksiköt yrittävät ryhtyä kostotoimiin valituksen tekijöitä vastaan, koska tämä on laitonta.Jos henkilöt pelkäävät kostotoimia, he voivat silti tehdä valituksen ilmoittamalla nimensä ja yhteystietonsa, mutta kieltää OCR: n suostumuksen paljastaa henkilöllisyytensä tai tunnistetietonsa. Näissä tapauksissa OCR voi tutkia katettua yhteisöä tai organisaatiota toimittamatta tutkittavalle osapuolelle tunnistetietoja.
On erittäin suositeltavaa, että HIPAA: n rikkomusraportit sisältävät toimittajan tiedot, koska nimettömät valitukset eivät välttämättä ole johtaa tutkimuksiin. Luvanhaltijan henkilöllisyyden paljastaminen voi myös hidastaa tutkimusta, mikä saattaa johtaa HIPAA-rikkomusten lisääntymiseen tai PHI: n paljastumiseen. Voit lukea kattavamman HIPAA-oppaan täältä.